Wirkt sich die aktuelle gesetzgeberische Datenschutz-Deregulierung auf das Betriebsverfassungsrecht aus?

WOLFGANGGORICNIK
Einleitung

Bekanntlich ist die Europäische Datenschutz-Grundverordnung (DS-GVO) 2016/679 am 4.5.2016 im Amtsblatt der EU (ABl L 2016/119, 1) veröffentlicht worden und trat gem deren Art 99 Abs 1 am 24.5.2016 in Kraft. Anwendbar ist sie gem Art 99 Abs 2 ab dem 25.5.2018. Als unionsrechtliche Verordnung ist sie in Österreich (und in den anderen Mitgliedstaaten der EU) direkt anwendbar, sie enthält aber zahlreiche sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten auftragen bzw ermöglichen, in Einzelfragen oder Teilbereichen – wie etwa dem AN-Datenschutzrecht – eigenständige Regelungen zu treffen. Dem entsprechend ist am 29.6.2017 im Nationalrat (NR) (mangels entsprechender Mehrheit ohne die vorgesehene „Anpassung“ auch der Verfassungsbestimmungen) das Datenschutz-Anpassungsgesetz 2018 zur Änderung des Datenschutzgesetzes (DSG) 2000 und zur In-Kraft-Setzung des neuen „Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DatenschutzgesetzDSG)“ mit Inkrafttreten per 25.5.2018 verabschiedet worden, das die DS- GVO implementieren soll. Nachdem sich Rechtswissenschaft und Praxis schon ausführlich mit dem insoferne unional und national komplex verzahnten neuen Datenschutz- Regime (auch hinsichtlich betriebsverfassungsrechtlicher Auswirkungen) auseinandergesetzt hatten, schlug die diesbezügliche juristische Wetterlage – hauptsächlich von der neuen Regierungskoalition initiiert – im April 2018 Kapriolen, deren betriebsverfassungsrechtliche Implikationen in diesem Praxisbeitrag untersucht werden sollen.

1.
Kollektives Mitbestimmungsrecht versus individuelles Datenschutzrecht

Zwischen dem Datenschutz-Interesse des einzelnen AN bezüglich ihn betreffende personenbezogene bzw personenbeziehbare Daten und dem Datenverarbeitungs-Interesse des BR ist durchaus ein Widerspruch möglich, zumal der BR ja primär im Belegschaftsinteresse zu handeln hat, das nicht zwangsläufig mit den Einzelinteressen der AN kongruent sein muss.* ZB wird ein vom AG willkürlich bevorzugter AN kein Interesse daran haben, dass der BR davon erfährt (und allenfalls Gleichbehandlung einmahnt). Da Datenschutzrecht per se aber grundsätzlich mitbestimmungsneutral ist, muss oberstes Primat einer interpretatorischen Auflösung möglicher Konfliktfelder eine „Sphärenharmonie“ zwischen Betriebsverfassungsrecht einerseits und Datenschutzrecht andererseits sein.*187

Um dies klarzustellen, fand sich im österreichischen Datenschutzrecht seit jeher die deklarative Aussage, dass die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse durch das (jeweilige) Datenschutzgesetz nicht berührt werden.*

Dass diese Klarstellung aber durchaus nicht nur ein abstrakter Programmsatz iS „symbolischer“ Rechtspolitik war, sondern ihr auch praktischer Nutzen in der operativen Betriebsratsarbeit zukam, belegt bspw eine E des Einigungsamtes Salzburg vom 14.3.1983:*

Das gegenüber dem BR vom AG getätigte Vorenthalten von Personaldaten könne sich nicht auf Bestimmungen des DSG 1978 gründen, da § 31 DSG 1978 ausdrücklich klarstelle, dass die nach § 89 ArbVG dem BR zustehenden Rechte unberührt bleiben.

2.
Weitere rechtshistorische Entwicklung
2.1.

Die ausdrückliche Klarstellung, dass die dem BR nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt bleiben, fand sich in der Folge auch in § 9 Z 11 DSG 2000.* Das DSG 2000 sollte bekanntlich die Datenschutz-RL 95/46/EG,* welche auf die Harmonisierung der Datenschutzvorschriften der Mitgliedstaaten der EU abzielte, umsetzen. Die entsprechende Bestimmung fand sich zwar nur beim Erlaubnistatbestand der Verwendung sensibler Daten, doch judizierte der OGH, dass der Regelung des § 9 Z 11 DSG 2000 eine umfassendere Bedeutung zukomme, als es aufgrund ihrer systematischen Stellung im DSG 2000 den Anschein hat. Sie sei im System des DSG 2000 als Fortschreibung des Grundsatzes, dass die Befugnisse des BR durch das DSG nicht berührt werden, anzusehen.* Einsichtnahmen des BR gem § 89 Z 1 ArbVG in die entsprechenden Daten einzelner AN sind nach dieser E des OGH von einer individuellen Zustimmung der betroffenen AN unabhängig; würde man dies datenschutzrechtlich für erforderlich halten, würde das die Tätigkeitsmöglichkeiten des BR im Bereich seiner entsprechenden Kompetenz aushöhlen. Dadurch bestünde nämlich die Gefahr, dass einzelne AN vom AG unter Druck gesetzt werden, ihre Zustimmung zu verweigern, um so entsprechende Einsichtnahmen und Kontrolltätigkeiten des BR zu verhindern. Auch diese ergänzende Überlegung spreche dafür, dass diese Befugnisse des BR nicht an die individuelle Zustimmung der betroffenen AN gebunden seien.

Die Mitwirkungsbefugnisse gem ArbVG haben also auch eine (jeweils genau auszumessende) datenschutzrechtliche Dimension. So folgt bspw nach hier vertretener Ansicht aus dem Recht des BR, die Einhaltung der für den Betrieb geltenden Betriebsvereinbarungen gem § 89 Z 2 ArbVG zu überwachen, dass der BR zur (notwendigen) Einsicht in konkrete AN-Daten dann keiner Zustimmung des betroffenen AN bedarf, wenn es um die Überwachung der korrekten Umsetzung einer BV geht.*

2.2.
Datenschutz-Anpassungsgesetz 2018

Die DS-GVO enthält neben unmittelbar anwendbaren Regelungen viele sogenannter „Öffnungsklauseln“, welche den Mitgliedstaaten einerseits zwingend und andererseits fakultativ (trotz des grundsätzlichen „Transformationsgebotes“ einer unionsrechtlichen VO) die Schaffung nationaler Implementierungsbestimmungen auftragen bzw ermöglichen. Diese Implementierung erfolgte mit dem Datenschutz-Anpassungsgesetz 2018,* welches das DSG 2000 (mit Ausnahme der aufrecht bleibenden Verfassungsbestimmungen) in das „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DatenschutzgesetzDSG)“ abänderte.

Der neue § 11 DSG wies dabei in seinem Satz 1 das ArbVG, soweit es die Verarbeitung personenbezogener Daten regelt, als beschäftigtendatenschutzrechtliche Vorschrift iSd Art 88 DS-GVO aus. Satz 2 schrieb fort, dass die dem BR nach dem ArbVG zustehenden Befugnisse unberührt bleiben.

Sowohl die Erläuterungen zur RV* als auch zum Bericht des Verfassungsausschusses* weisen in diesem Zusammenhang darauf hin, dass weder das DSG 2000 noch zuvor das DSG 1978 eine systematische Regelung von Beschäftigtendatenschutz enthalten haben, sondern sich derartige Regelungen im ArbVG und in gleichlautenden bundes- oder landesgesetzlichen Bestimmungen für die Personalvertretungen finden, sodass von einer inhaltlichen Ausgestaltung des Beschäftigtendatenschutzes im DSG Abstand genommen werde.

Fortgeschrieben werden solle jedoch das bestehende Verhältnis zwischen dem DSG 2000 (§ 9188Z 11 DSG 2000) und dem ArbVG (unter Verweis auf das vorzitierte Judikat des OGH 17.9.2014, 6 ObA 1/14m).

2.3.
Datenschutz-Deregulierungsgesetz 2018

IS einer Deregulierung im Datenschutzrecht sollten in der neuen aktuellen 26. Gesetzgebungsperiode Änderungen betreffend die verfassungsrechtliche Kompetenzrechtslage auf dem Gebiet des Datenschutzes und eine vollständige Neufassung des Grundrechts auf Datenschutz in § 1 DSG erfolgen. Weiters sollten Redaktionsversehen korrigiert und Klarstellungen im DSG vorgenommen werden.

Mit letzterer Intention führte ein 3-Parteien-Initiativantrag vom 22.3.2018 aus, dass es selbstverständlich sei, dass nicht jegliche Übertretung des ArbVG zu einer Strafbarkeit nach Art 83 DS-GVO führe, sondern nur Übertretungen von Schutzvorschriften des ArbVG betreffend die Verarbeitung personenbezogener Daten dem Regime des Art 83 DS-GVO unterlägen.* Dementsprechend sollte Satz 1 des DSG idF BGBl I 2017/120 im Gesetzestext entfallen (er wurde vielmehr in die Begründung des Antrages verschoben); Satz 2 deklarierte (als § 11 DSG idF des Initiativantrages) weiterhin, dass die Befugnisse der Arbeitnehmerschaft (sowie die Mitwirkungsrechte der Personalvertretung), soweit sie die Verarbeitung personenbezogener Daten betreffen, unberührt bleiben.*

Weil die SPÖ allerdings dem gesamten Vorhaben nicht mehr zustimmte, insb weil sie sich mit ihrer Forderung nach einem (mandatsunabhängigen) Verbandsklagerecht im Datenschutzrecht* nicht durchsetzen konnte,* wurde das Datenschutz-Deregulierungs-Gesetz 2018 in Form eines Abänderungsantrages von ÖVP und FPÖ* einerseits ohne die geplanten verfassungsmäßigen Bereinigungen und andererseits in vielfach völlig veränderter Form am 20.4.2018 in der 21. Sitzung des NR mit den Stimmen der Regierungskoalition in dritter Lesung angenommen. *

So entfiel die 40 Jahre lang Bestand habende Klarstellung des Verhältnisses zwischen Betriebsverfassungsrecht und Datenschutzrecht ersatz- und begründungslos. Im § 11 des letztlich vom NR am 20.4.2018 beschlossenen Datenschutz-Deregulierungsgesetzes 2018* findet sich nunmehr eine gänzlich andere Vorschrift. Skurrilerweise wird dort nunmehr (wohl unionsrechtswidrig) geregelt, dass die Datenschutzbehörde (DSB) insb bei erstmaligen Verstößen von ihren Abhilfebefugnissen insb durch Verwarnen Gebrauch machen werde. Damit soll also das von österreichischen Wirtschaftskreisen generell eingeforderte „Verwarnen statt Strafen“-Prinzip einer Behörde vorgeschrieben werden, deren Aufgabe es ist, Unionsrecht zu vollziehen. Dieses Vorhaben mutet sowohl angesichts des Anwendungsvorranges von Unionsrecht, konkret des Art 83 DS-GVO, als auch angesichts der unionsrechtlich garantierten Unabhängigkeit der DSB* vielleicht klientelpolitisch verständlich,* insgesamt aber doch sehr naiv an.

3.
Resümee

Für die betriebliche Praxis ist es zwar sehr bedauerlich, dass jene Regelung, die bisher das grundsätzliche Verhältnis zwischen ArbVG und DSG – wenn auch nur deklarativ – klargestellt hat, mit dem DSG idF BGBl I 2018/24gänzlich entfallen wird.* Aus rechtsdogmatischer (und erst recht unionsrechtlicher) Sicht ist diese Vorgehensweise des Gesetzgebers allerdings irrelevant.

Angesichts der (schon kompetenzrechtlich gebotenen)* Mitbestimmungsneutralität der DS-GVO ist sohin auch weiterhin von einer „Sphärenharmonie“ zwischen Betriebsverfassungsrecht und Datenschutzrecht auszugehen. Dieser Grundsatz entbindet allerdings nicht davon, den datenschutzrechtlichen (Erlaubnis-)Gehalt der einzelnen Mitwirkungsbefugnisse im ArbVG auszuloten.* Das bedeutet insb, dass konkrete Pflichten bzw Ermächtigungen zur Verarbeitung und Übermittlung von AN-Daten im ArbVG an den abstrakten Erlaubnistatbeständen der allgemeinen DS-GVO zu messen sind.* Hinsichtlich der besonderen Datenverarbeitung im Beschäftigungskontext* kommen zusätzlich „Kollektivvereinbarungen“, sprich KollV und BV,* als datenschutzrechtliche Erlaubnistatbestände in Betracht. Daran hat auch der Wegfall des Ausweises des ArbVG als beschäftigtendatenschutz-189rechtliche Vorschrift im Sinne des Art 88 DS- GVO nichts geändert.* Denn die Ermächtigungsnormen zu heteronomer Rechtsetzung (mittels KollV und BV) im ArbVG (insb §§ 2 Abs 2, 96, 96a und 97 ArbVG), die auch die (Mit-)Regelung von Beschäftigtendatenschutz erlauben, sind nicht Beschäftigtendatenschutzrecht im eigentlichen Sinn (einer Regelung der Verarbeitung personenbezogener AN-Daten), sondern vielmehr rechtliche Einfallspforten für die Regelung des (möglichen) Beschäftigtendatenschutzrechtes (mittels KollV und BV).

Knapp zusammengefasst kann also festgehalten werden, dass die gesetzgeberische Last-Minute-Datenschutz-Deregulierung zwar einen bedauerlichen Wegfall von Klarstellungen bewirkt, sich inhaltlich aber nicht auf die jedenfalls vorzunehmende Feinabstimmung zwischen Betriebsverfassungsrecht und neuem europäischen Datenschutzrecht auswirkt.